Hyökkäyksen pinnan pienentämissääntöjen viittaus
Koskee seuraavia:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Alustoilla:
- Windows
Tässä artikkelissa on tietoja Microsoft Defender for Endpoint hyökkäysalueen vähentämissäännöistä (ASR-säännöt):
- ASR-säännöt tukevat käyttöjärjestelmäversioita
- ASR-säännöt tukivat määritysten hallintajärjestelmiä
- ASR-sääntöhälytyksen ja -ilmoituksen tiedot
- ASR-sääntö GUID-matriisiin
- ASR-sääntötilat
- Per-rule-descriptions
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Vihje
Tämän artikkelin kumppanina suosittelemme käyttämään Microsoft Defender for Endpoint automaattista määritysopasta, kun olet kirjautunut Microsoft 365 -hallintakeskus. Tämä opas mukauttaa käyttökokemustasi ympäristösi perusteella. Jos haluat tarkastella parhaita käytäntöjä kirjautumatta sisään ja aktivoimatta automaattisia asennusominaisuuksia, siirry Microsoft 365:n asennusoppaaseen.
Hyökkäyksen pinnan pienentämissäännöt tyypin mukaan
Hyökkäyspinnan pienentämissäännöt luokitellaan toiseksi kahdesta tyypistä:
Vakiosuojaussäännöt: Ovatko Microsoftin suosittelemien sääntöjen vähimmäisjoukko aina käytössä, kun arvioit muiden ASR-sääntöjen vaikutusta ja määritystarpeita. Näillä säännöillä on yleensä pienistä ei-lainkaan huomattava vaikutus loppukäyttäjään.
Muut säännöt: Säännöt, jotka vaativat jonkin verran toimenpiteitä dokumentoitujen käyttöönottovaiheiden noudattamiseksi [Suunnitelmatesti > (valvonta) > Ota käyttöön (esto- ja varoitustilat)], kuten hyökkäyspinnan vähentämissääntöjen käyttöönotto-oppaassa on dokumentoitu
Helpoin tapa ottaa käyttöön vakiosuojaussäännöt on kohdassa : Yksinkertaistettu vakiosuojausasetus.
| ASR-säännön nimi: | Vakiosuojaussääntö? | Toinen sääntö? |
|---|---|---|
| Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen | Kyllä | |
| Estä Adobe Readeria luomasta aliprosesseja | Kyllä | |
| Estä aliprosessien luominen kaikilta Office-sovelluksilta | Kyllä | |
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) | Kyllä | |
| Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | Kyllä | |
| Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa | Kyllä | |
| Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen | Kyllä | |
| Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä | Kyllä | |
| Estä Office-sovelluksia luomasta suoritettavaa sisältöä | Kyllä | |
| Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | Kyllä | |
| Estä Office-tietoliikennesovellusta luomasta aliprosesseja | Kyllä | |
| Estä pysyvyys WMI-tapahtumatilauksen kautta | Kyllä | |
| Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista | Kyllä | |
| Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) | Kyllä | |
| Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä | Kyllä | |
| Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) | Kyllä | |
| Estä verkkosellien luominen palvelimia varten | Kyllä | |
| Estä Win32-ohjelmointirajapintakutsut Office-makroista | Kyllä | |
| Lisäsuojauksen käyttö kiristysohjelmia vastaan | Kyllä |
Microsoft Defender virustentorjuntaohjelman poikkeukset ja ASR-säännöt
Microsoft Defender virustentorjuntaohjelman poikkeukset koskevat joitakin Microsoft Defender for Endpoint ominaisuuksia, kuten joitakin hyökkäysalueen vähentämissääntöjä.
Seuraavat ASR-säännöt EIVÄT kunnioita Microsoft Defender virustentorjuntaa koskevia poissulkemisia:
Huomautus
Lisätietoja sääntökohtaisten poissulkemisten määrittämisestä on kohdassa ASR-sääntöjen määrittäminen sääntökohtaisia poissulkemisia käsittelevässä aiheessa Testaa hyökkäyksen pinnan pienentämissääntöjä.
ASR:n säännöt ja Defender for Endpoint Indicators of Compromise (IOC)
Seuraavissa ASR:n säännöissä ei nojaudu Microsoft Defender for Endpoint kompromissiindikaattoreita (IOC):
| ASR-säännön nimi | Kuvaus |
|---|---|
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) | Ei kunnioita tiedostojen tai varmenteiden vaarantumisen indikaattoreita. |
| Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | Ei kunnioita tiedostojen tai varmenteiden vaarantumisen indikaattoreita. |
| Estä Win32-ohjelmointirajapintakutsut Office-makroista | Ei kunnioita sertifikaattien kompromissiindikaattoreita. |
ASR-säännöt tukevat käyttöjärjestelmiä
Seuraavassa taulukossa on lueteltu tuetut käyttöjärjestelmät säännöille, jotka ovat tällä hetkellä yleisesti saatavilla. Säännöt on lueteltu aakkosjärjestyksessä tässä taulukossa.
Huomautus
Ellei toisin mainita, Windows 10 koontiversion vähimmäisversio on 1709 (RS3, koontiversio 16299) tai uudempi versio. Windows Serverin vähimmäisversio on versio 1809 tai uudempi versio.
Hyökkäysalueen vähentämissäännöt Windows Server 2012 R2:ssa ja Windows Server 2016:ssa ovat käytettävissä laitteissa, jotka on otettu käyttöön käyttämällä modernia yhdistettyä ratkaisupakettia. Lisätietoja on artikkelissa Uuden Windows Server 2012 R2:n ja 2016:n toiminnot modernissa yhdistetyssä ratkaisussa.
(1) Viittaa nykyaikaiseen yhtenäiseen ratkaisuun Windows Server 2012:ssa ja 2016:ssa. Lisätietoja on kohdassa Windows-palvelimien käyttöönotto Defender for Endpoint -palvelussa.
(2) Windows Server 2016:ssa ja Windows Server 2012 R2:ssa Microsoft Endpoint Configuration Manager vähimmäisversio on versio 2111.
(3) Versio ja koontiversion numero koskevat vain Windows 10.
ASR-säännöt tukivat määritysten hallintajärjestelmiä
Linkit tässä taulukossa viitattuihin kokoonpanon hallintajärjestelmäversioihin on lueteltu tämän taulukon alla.
(1) Voit määrittää hyökkäyspinnan pienentämissääntöjä sääntökohtaisesti käyttämällä minkä tahansa säännön GUID-tunnusta.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Configuration Manager CB 1710
- System Center Configuration Manager (SCCM) CB 1710
SCCM on nyt Microsoft Configuration Manager.
ASR-sääntöhälytyksen ja -ilmoituksen tiedot
Ilmoitusruutuja luodaan kaikille säännöille Lohko-tilassa. Missä tahansa muussa tilassa olevat säännöt eivät luo ilmoitusruutuja.
Säännöille, joiden "Säännön tila" on määritetty:
- ASR-sääntöjen <ja ASR-säännön tilan> yhdistelmiä käytetään ilmoitusten (ilmoitusruutujen) esille tuomiseen Microsoft Defender for Endpoint vain laitteissa, joiden pilvilohkotaso on Korkea. Laitteet, jotka eivät ole korkealla pilvipalvelulohkotasolla, eivät luo ilmoituksia asr-säännöstä<, säännön tilayhdistelmästä>
- ASR-säännöille luodaan EDR-hälytyksiä määritetyissä tiloissa laitteille, joiden pilvilohkotaso on Korkea+
ASR-sääntö GUID-matriisiin
| Säännön nimi | Säännön GUID-tunnus |
|---|---|
| Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Estä Adobe Readeria luomasta aliprosesseja | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Estä aliprosessien luominen kaikilta Office-sovelluksilta | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | be9ba2d9-53ea-4cdc-84e5-9b1ee46550 |
| Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä | d3e037e1-3eb8-44c8-a917-57927947596d |
| Estä Office-sovelluksia luomasta suoritettavaa sisältöä | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Estä Office-tietoliikennesovellusta luomasta aliprosesseja | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Estä pysyvyys WMI-tapahtumatilauksen kautta * Tiedostojen ja kansioiden poissulkemisia ei tueta. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu) | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu) | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Estä verkkosellien luominen palvelimia varten | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Estä Win32-ohjelmointirajapintakutsut Office-makroista | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Lisäsuojauksen käyttö kiristysohjelmia vastaan | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR-sääntötilat
- Ei määritetty tai poista käytöstä: Tila, jossa ASR-sääntö ei ole käytössä tai poistettu käytöstä. Tämän tilan koodi = 0.
- Lohko: Tila, jossa ASR-sääntö on käytössä. Tämän tilan koodi on 1.
- Valvonta: Tila, jossa ASR-sääntöä arvioidaan sen vaikutuksen osalta, joka sillä olisi organisaatioon tai ympäristöön, jos se on käytössä (aseta estämään tai varoittamaan). Tämän tilan koodi on 2.
- Varoittaa Tila, jossa ASR-sääntö on käytössä ja näyttää ilmoituksen loppukäyttäjälle, mutta sallii käyttäjän ohittaa lohkon. Tämän tilan koodi on 6.
Varoitustila on lohkotilatyyppi, joka varoittaa käyttäjiä mahdollisesti riskialttiista toiminnoista. Käyttäjät voivat ohittaa estovaroituksen ja sallia taustalla olevan toiminnon. Käyttäjät voivat ottaa lohkon käyttöön valitsemalla OK tai valita ohitusasetuksen Poista esto lohkon aikana luodun käyttäjän ponnahdusikkunan ilmoitusikkunan kautta. Kun varoituksen esto on purettu, toiminto on sallittu, kunnes varoitussanoma tulee seuraavan kerran, jolloin käyttäjän on suoritettava toiminto uudelleen.
Kun Salli-painiketta napsautetaan, lohko estetään 24 tunnin ajan. 24 tunnin kuluttua käyttäjän on sallittava lohko uudelleen. ASR-sääntöjen varoitustilaa tuetaan vain RS5+ (1809+) -laitteissa. Jos ohitus on määritetty ASR-säännöille laitteissa, joissa on vanhempia versioita, sääntö on estetty-tilassa.
Voit myös määrittää säännön varoitustilassa PowerShellin kautta määrittämällä AttackSurfaceReductionRules_Actions "Varoita". Esimerkki:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn
Säännön kuvaukset
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
Tämä sääntö estää sovellusta kirjoittamasta haavoittuvassa asemassa olevaa allekirjoitettua ohjainta levylle. Yleisissä ja haavoittuvissa allekirjoitetuissa ohjaimissa paikalliset sovellukset - joilla on riittävät oikeudet - voivat käyttää ydintä. Haavoittuvassa asemassa olevat allekirjoitetut ohjaimet mahdollistavat sen, että hyökkääjät voivat poistaa suojausratkaisuja käytöstä tai kiertää niitä, mikä johtaa lopulta järjestelmän vaarantumiseen.
Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen -sääntö ei estä järjestelmässä jo olevan ohjaimen lataamista.
Huomautus
Voit määrittää tämän säännön Intune OMA-URI:n avulla. Katso Intune OMA-URI mukautettujen sääntöjen määrittämisestä.
Voit määrittää tämän säännön myös PowerShellin avulla.
Jos haluat, että tavoite tutkitaan, käytä tätä verkkosivustoa kuljettajan lähettämiseen analyysia varten.
Intune nimi:Block abuse of exploited vulnerable signed drivers
Configuration Manager nimi: Ei vielä käytettävissä
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
Kehittynyt metsästystoiminnon tyyppi:
AsrVulnerableSignedDriverAuditedAsrVulnerableSignedDriverBlocked
Estä Adobe Readeria luomasta aliprosesseja
Tämä sääntö estää hyökkäyksiä estämällä Adobe Readeria luomasta prosesseja.
Haittaohjelmat voivat ladata ja käynnistää hyötykuormat ja irtaudu Adobe Readerista sosiaalisen suunnittelun tai hyväksikäyttöjen kautta. Estämällä Adobe Readerin luomat aliprosessit haittaohjelmat, jotka yrittävät käyttää Adobe Readeria hyökkäysvektorina, estetään leviämästä.
Intune nimi:Process creation from Adobe Reader (beta)
Configuration Manager nimi: Ei vielä käytettävissä
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Kehittynyt metsästystoiminnon tyyppi:
AsrAdobeReaderChildProcessAuditedAsrAdobeReaderChildProcessBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Estä aliprosessien luominen kaikilta Office-sovelluksilta
Tämä sääntö estää Office-sovelluksia luomasta aliprosesseja. Office-sovellukset sisältävät Word, Excelin, PowerPointin, OneNoten ja Accessin.
Haitallisten aliprosessien luominen on yleinen haittaohjelmastrategia. Haittaohjelma, joka väärinkäyttää Officea vektorina, suorittaa usein VBA-makroja ja hyödyntää koodia ladatakseen ja yrittääkseen suorittaa enemmän hyötykuormaa. Jotkin lailliset toimialakohtaiset sovellukset saattavat kuitenkin myös luoda aliprosesseja hyväntahtoisiin tarkoituksiin. esimerkiksi komentokehotteen luominen tai rekisteriasetusten määrittäminen PowerShellin avulla.
Intune nimi:Office apps launching child processes
Configuration Manager nimi:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Kehittynyt metsästystoiminnon tyyppi:
AsrOfficeChildProcessAuditedAsrOfficeChildProcessBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
Tämä sääntö auttaa estämään tunnistetietojen varastamisen lukitsemalla paikallisen suojausviranomaisen alijärjestelmäpalvelun (LSASS).
LSASS todentaa käyttäjät, jotka kirjautuvat sisään Windows-tietokoneessa. Microsoft Defender Tunnistetietojen suojaus Windowsissa yleensä estää yritykset noutaa tunnistetiedot LSASS:stä. Jotkin organisaatiot eivät voi ottaa Credential Guardia käyttöön kaikissa tietokoneissaan mukautettujen älykorttiohjainten tai muiden LSA:han latautuvien ohjelmien yhteensopivuusongelmien vuoksi. Näissä tapauksissa hyökkääjät voivat käyttää Mimikatzin kaltaisia työkaluja tyhjentääkseen tekstisalasanoja ja NTLM-hajautuksia LSASS:stä.
Tämän säännön tilaksi on oletusarvoisesti määritetty esto. Useimmissa tapauksissa monet prosessit soittavan LSASS:iin käyttöoikeuksia, joita ei tarvita. Esimerkiksi silloin, kun ASR-säännön ensimmäinen lohko johtaa seuraavaan kutsuun pienemmälle etuoikeudelle, joka myöhemmin onnistuu. Lisätietoja LSASS-prosessikutsuissa yleensä pyydetyistä oikeustyypeistä on kohdassa : Prosessisuojaus ja käyttöoikeudet.
Tämän säännön ottaminen käyttöön ei tarjoa lisäsuojausta, jos LSA-suojaus on käytössä, koska ASR-sääntö ja LSA-suojaus toimivat samalla tavalla. Kuitenkin kun LSA-suojausta ei voida ottaa käyttöön, tämä sääntö voidaan määrittää tarjoamaan vastaava suojaus haittaohjelmia vastaan, jotka kohdistuvat kohteeseen lsass.exe.
Huomautus
Tässä skenaariossa ASR-sääntö on luokiteltu "ei käytettävissä" Defender for Endpoint -asetuksissa Microsoft Defender-portaalissa.
Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmän ASR-säännöstä ei tue WARN-tilaa.
Joissakin sovelluksissa koodi luetteloi kaikki käynnissä olevat prosessit ja yrittää avata ne tyhjentävällä käyttöoikeudella. Tämä sääntö estää sovelluksen prosessin avaamisen ja kirjaa tiedot suojaustapahtumalokiin. Tämä sääntö voi aiheuttaa paljon melua. Jos sinulla on sovellus, joka vain luetteloi LSASS:n, mutta jolla ei ole todellista vaikutusta toiminnallisuuteen, sitä ei tarvitse lisätä poissulkemisluetteloon. Tämä tapahtumalokin merkintä ei välttämättä tarkoita pahantahtoista uhkaa.
Intune nimi:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager nimi:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Kehittynyt metsästystoiminnon tyyppi:
AsrLsassCredentialTheftAuditedAsrLsassCredentialTheftBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista
Tämä sääntö estää Microsoft Outlook -sovelluksessa avatun sähköpostin avaamisen tai Outlook.com ja muita suosittuja webmail-palveluntarjoajia levittämästä seuraavia tiedostotyyppejä:
- Suoritettavat tiedostot (kuten .exe, .dll tai .scr)
- Komentosarjatiedostot (kuten PowerShell-.ps1, Visual Basic .vbs- tai JavaScript-.js-tiedosto)
Intune nimi:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Configuration Manager nimi:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Kehittynyt metsästystoiminnon tyyppi:
AsrExecutableEmailContentAuditedAsrExecutableEmailContentBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Huomautus
Säännöllä Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista on seuraavat vaihtoehtoiset kuvaukset käyttämästäsi sovelluksesta riippuen:
- Intune (määritysprofiilit): Suoritettavan sisällön suorittaminen (exe, dll, ps, js, vbs jne.) pudotettiin sähköpostista (webmail/mail client) (ei poikkeuksia).
- Configuration Manager: Estä suoritettavan sisällön lataaminen sähköposti- ja verkkosähköpostiasiakkailta.
- ryhmäkäytäntö: Estä suoritettava sisältö sähköpostiasiakkaasta ja verkkosähköpostista.
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettua luetteloehtoa
Tämä sääntö estää suoritustiedostojen, kuten .exe, .dll tai .scr, käynnistymisen. Epäluotettavien tai tuntemattomien suoritettavan tiedoston käynnistäminen voi siis olla riskialtista, koska aluksi ei ole selvää, ovatko tiedostot haitallisia.
Tärkeää
Sinun on otettava pilvipalveluun toimitettu suojaus käyttöön , jotta voit käyttää tätä sääntöä.
Sääntö Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä esiintyvyyttä, ikää tai luotettua luetteloehtoa , jonka GUID-tunnus 01443614-cd74-433a-b99e-2ecdc07bfc25 on Microsoftin omistuksessa, eivätkä järjestelmänvalvojat ole määrittäneet sitä. Tämä sääntö käyttää pilvipalveluun toimitettua suojausta päivittääkseen luotetun luettelonsa säännöllisesti.
Voit määrittää yksittäisiä tiedostoja tai kansioita (käyttämällä kansiopolkuja tai täydellisiä resurssien nimiä), mutta et voi määrittää, mitä sääntöjä tai poissulkemisia sovelletaan.
Intune nimi:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager nimi:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
Kehittynyt metsästystoiminnon tyyppi:
AsrUntrustedExecutableAuditedAsrUntrustedExecutableBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus
Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen
Tämä sääntö havaitsee epäilyttävät ominaisuudet hämärtyneessä komentosarjassa.
Tärkeää
PowerShell-komentosarjoja tuetaan nyt "Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen" -säännölle.
Komentosarjojen obfuscation on yleinen tekniikka, jota sekä haittaohjelmien tekijät että lailliset sovellukset käyttävät immateriaalioikeuksien piilottamiseen tai komentosarjojen latausaikojen lyhentämiseen. Haittaohjelmien tekijät käyttävät myös hämäystä vaikeuttaakseen haitallisen koodin lukemista, mikä haittaa ihmisten ja tietoturvaohjelmistojen tiivistä valvontaa.
Intune nimi:Obfuscated js/vbs/ps/macro code
Configuration Manager nimi:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Kehittynyt metsästystoiminnon tyyppi:
AsrObfuscatedScriptAuditedAsrObfuscatedScriptBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, haittaohjelmien torjunnan tarkistusliittymä (AMSI)
Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä
Tämä sääntö estää komentosarjoja käynnistämästä mahdollisesti haitallista ladattua sisältöä. JavaScriptillä tai VBScriptillä kirjoitettu haittaohjelma toimii usein lataajana muiden haittaohjelmien hakemiseksi ja käynnistämiseksi Internetistä.
Vaikka se ei ole yleistä, toimialakohtaiset sovellukset käyttävät joskus komentosarjoja asennussovellusten lataamiseen ja käynnistämiseen.
Intune nimi:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager nimi:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
Kehittynyt metsästystoiminnon tyyppi:
AsrScriptExecutableDownloadAuditedAsrScriptExecutableDownloadBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, AMSI
Estä Office-sovelluksia luomasta suoritettavaa sisältöä
Tämä sääntö estää Office-sovelluksia, kuten Word, Exceliä ja PowerPointia, luomasta mahdollisesti haitallista suoritettavaa sisältöä estämällä haitallisen koodin kirjoittamisen levylle.
Haittaohjelma, joka väärinkäyttää Officea vektorina, saattaa yrittää murtautua Ulos Officesta ja tallentaa haitallisia osia levylle. Nämä haitalliset komponentit selviävät tietokoneen uudelleenkäynnistyksestä ja pysyvät järjestelmässä. Siksi tämä sääntö puolustaa yleistä pysyvyystekniikkaa vastaan. Tämä sääntö estää myös epäluotetettavien tiedostojen suorittamisen, jotka Office-makrot ovat saattaneet tallentaa ja joita voi käyttää Office-tiedostoissa.
Intune nimi:Office apps/macros creating executable content
Configuration Manager nimi:Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
Kehittynyt metsästystoiminnon tyyppi:
AsrExecutableOfficeContentAuditedAsrExecutableOfficeContentBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, RPC
Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin
Tämä sääntö estää koodien lisäämisyritykset Office-sovelluksista muihin prosesseihin.
Huomautus
Estä sovelluksia lisäämästä koodia muihin prosesseihin -SÄÄNTÖ ei tue WARN-tilaa.
Tärkeää
Tämä sääntö edellyttää, että Microsoft 365 -sovellukset (Office-sovellukset) käynnistetään uudelleen, jotta määritysmuutokset tulevat voimaan.
Hyökkääjät saattavat yrittää siirtää haitallista koodia muihin prosesseihin Office-sovellusten avulla koodin lisäämisen avulla, jotta koodi voidaan naamioida puhtaaksi prosessiksi.
Koodin lisäämiseen ei ole olemassa tunnettuja laillisia liiketoimintatarkoituksia.
Tämä sääntö koskee Word, Exceliä, OneNotea ja PowerPointia.
Intune nimi:Office apps injecting code into other processes (no exceptions)
Configuration Manager nimi:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Kehittynyt metsästystoiminnon tyyppi:
AsrOfficeProcessInjectionAuditedAsrOfficeProcessInjectionBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Estä Office-tietoliikennesovellusta luomasta aliprosesseja
Tämä sääntö estää Outlookia luomasta aliprosesseja ja samalla laillisia Outlook-funktioita.
Tämä sääntö suojaa sosiaalisen suunnittelun hyökkäyksiltä ja estää koodia hyödyntämästä Outlookin haavoittuvuuksia väärin. Se suojaa myös Outlookin säännöiltä ja lomakkeilta , joita hyökkääjät voivat käyttää, kun käyttäjän tunnistetiedot ovat vaarantuneet.
Huomautus
Tämä sääntö estää DLP-käytäntövihjeet ja Työkaluvihjeet Outlookissa. Tämä sääntö koskee vain Outlookia ja Outlook.com.
Intune nimi:Process creation from Office communication products (beta)
Configuration Manager nimi: Ei käytettävissä
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
Kehittynyt metsästystoiminnon tyyppi:
AsrOfficeCommAppChildProcessAuditedAsrOfficeCommAppChildProcessBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Estä pysyvyys WMI-tapahtumatilauksen kautta
Tämä sääntö estää haittaohjelmia käyttämästä väärin WMI:tä saavuttaakseen pysyvyyden laitteessa.
Tärkeää
Tiedosto- ja kansiopoikkeukset eivät koske tätä hyökkäysalueen pienentämissääntöä.
Tiedostottomat uhat käyttävät erilaisia taktiikoita pysyäkseen piilossa, välttääkseen näkymisen tiedostojärjestelmässä ja saadakseen kausittaisen suorituksen hallinnan. Jotkin uhat voivat käyttää väärin WMI-säilöä ja tapahtumamallia pysyäkseen piilossa.
Huomautus
Jos CcmExec.exe laitteessa havaitaan (SCCM Agentti), ASR-sääntö luokitellaan "ei käytettävissä" Defender for Endpoint -asetuksissa Microsoft Defender portaalissa.
Intune nimi:Persistence through WMI event subscription
Configuration Manager nimi: Ei käytettävissä
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
Kehittynyt metsästystoiminnon tyyppi:
AsrPersistenceThroughWmiAuditedAsrPersistenceThroughWmiBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, RPC
Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista
Tämä sääntö estää PsExecin ja WMI :n kautta luotujen prosessien suorittamisen. Sekä PsExec että WMI voivat suorittaa koodia etäyhteyden kautta. On olemassa riski, että haittaohjelma käyttää väärin PsExec- ja WMI-toimintoja komento- ja hallintatarkoituksiin tai levittää tartuntaa koko organisaation verkossa.
Varoitus
Käytä tätä sääntöä vain, jos hallitset laitteitasi Intune tai jollakin toisella MDM-ratkaisulla. Tämä sääntö ei ole yhteensopiva MicrosoftIn päätepisteen Configuration Manager hallinnan kanssa, koska tämä sääntö estää WMI-komentoja, joita Configuration Manager asiakas käyttää toimiakseen oikein.
Intune nimi:Process creation from PSExec and WMI commands
Configuration Manager nimi: Ei käytettävissä
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
Kehittynyt metsästystoiminnon tyyppi:
AsrPsexecWmiChildProcessAuditedAsrPsexecWmiChildProcessBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Tietokoneen uudelleenkäynnistyksen estäminen vikasietotilassa (esikatselu)
Tämä sääntö estää koneiden uudelleenkäynnistämisen komentojen suorittamisen vikasietotilassa.
Vikasietotila on diagnostiikkatila, joka lataa vain Windowsin suorittamiseen tarvittavat olennaiset tiedostot ja ohjaimet. Vikasietotilassa monet suojaustuotteet on kuitenkin joko poistettu käytöstä tai ne toimivat rajoitetussa kapasiteetissa, jolloin hyökkääjät voivat edelleen käynnistää peukalointikomentoja tai yksinkertaisesti suorittaa ja salata kaikki tietokoneen tiedostot. Tämä sääntö estää tällaiset hyökkäykset estämällä prosesseja käynnistämästä koneita uudelleen vikasietotilassa.
Huomautus
Tämä ominaisuus on tällä hetkellä esikatseluvaiheessa. Tehon parantamiseksi on kehitteillä lisäpäivityksiä.
Intune nimi:[PREVIEW] Block rebooting machine in Safe Mode
Configuration Manager nimi: Ei vielä käytettävissä
GUID: 33ddedf1-c6e0-47cb-833e-de6133960387
Riippuvuudet: Microsoft Defender virustentorjunta
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä
Tämän säännön avulla järjestelmänvalvojat voivat estää allekirjoittamattomien tai epäluotettavien suoritettavien tiedostojen suorittamisen siirrettävissä USB-asemista, SD-kortit mukaan lukien. Estettyjä tiedostotyyppejä ovat suoritettavat tiedostot (kuten .exe, .dll tai .scr)
Tärkeää
Tämä sääntö estää USB-levyasemaan kopioidut tiedostot, jos ja kun ne suoritetaan levyasemassa.
Intune nimi:Untrusted and unsigned processes that run from USB
Configuration Manager nimi:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Kehittynyt metsästystoiminnon tyyppi:
AsrUntrustedUsbProcessAuditedAsrUntrustedUsbProcessBlocked
Riippuvuudet: Microsoft Defender virustentorjunta
Kopioitujen tai tekeytynneiden järjestelmätyökalujen käytön estäminen (esikatselu)
Tämä sääntö estää suoritettavan tiedoston käytön, joka tunnistetaan Windows-järjestelmätyökalujen kopioiksi. Nämä tiedostot ovat alkuperäisten järjestelmätyökalujen kaksoiskappaleita tai huijareita.
Jotkin haittaohjelmat saattavat yrittää kopioida tai tekeytyä Windows-järjestelmätyökaluksi, jotta niitä ei tunnistusta tai oikeuksia saada. Tällaisten suoritettavien tiedostojen salliminen voi johtaa mahdollisiin hyökkäyksiin. Tämä sääntö estää tällaisten järjestelmätyökalujen kaksoiskappaleiden ja impostorien levittämisen ja suorittamisen Windows-koneissa.
Huomautus
Tämä ominaisuus on tällä hetkellä esikatseluvaiheessa. Tehon parantamiseksi on kehitteillä lisäpäivityksiä.
Intune nimi:[PREVIEW] Block use of copied or impersonated system tools
Configuration Manager nimi: Ei vielä käytettävissä
GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Riippuvuudet: Microsoft Defender virustentorjunta
Estä verkkosellien luominen palvelimia varten
Tämä sääntö estää verkkoliittymän komentosarjojen luomisen Microsoft Serverissä, Exchange-roolissa.
Verkkoliittymän komentosarja on erityisesti muotoiltu komentosarja, jonka avulla hyökkääjä voi hallita vaarantunutta palvelinta. Verkkoliittymä voi sisältää toimintoja, kuten haittaohjelmien vastaanottamisen ja suorittamisen, haitallisten tiedostojen lataamisen ja suorittamisen, tunnistetietojen ja luottamuksellisten tietojen varastamisen ja latauksen, mahdollisten kohteiden tunnistamisen jne.
Intune nimi:Block Webshell creation for Servers
GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6
Riippuvuudet: Microsoft Defender virustentorjunta
Estä Win32-ohjelmointirajapintakutsut Office-makroista
Tämä sääntö estää VBA-makroja kutsumasta Win32-ohjelmointirajapintoja.
Office VBA mahdollistaa Win32-ohjelmointirajapintakutsut. Haittaohjelma voi käyttää tätä ominaisuutta väärin, kuten kutsua Win32-ohjelmointirajapintoja käynnistääkseen haitallisen shellcoden kirjoittamatta mitään suoraan levylle. Useimmat organisaatiot eivät luota kykyyn kutsua Win32-ohjelmointirajapintoja päivittäisessä toiminnassaan, vaikka ne käyttäisivät makroja muilla tavoin.
Intune nimi:Win32 imports from Office macro code
Configuration Manager nimi:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Kehittynyt metsästystoiminnon tyyppi:
AsrOfficeMacroWin32ApiCallsAuditedAsrOfficeMacroWin32ApiCallsBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, AMSI
Lisäsuojauksen käyttö kiristysohjelmia vastaan
Tämä sääntö tarjoaa ylimääräisen suojakerroksen kiristyshaittaohjelmia vastaan. Se käyttää sekä asiakas- että pilvi heuristiikkoja määrittääkseen, muistuttaako tiedosto kiristyshaittaohjelmia. Tämä sääntö ei estä tiedostoja, joilla on vähintään yksi seuraavista ominaisuuksista:
- Tiedosto on jo todettu vahingoittumattomaksi Microsoftin pilvipalvelussa.
- Tiedosto on kelvollinen allekirjoitettu tiedosto.
- Tiedosto on tarpeeksi yleinen, ettei sitä pidetä kiristyshaittaohjelmana.
Sääntöllä on taipumus erehtyä varovaisuuden puolella kiristyshaittaohjelmien estämiseksi.
Huomautus
Sinun on otettava pilvipalveluun toimitettu suojaus käyttöön , jotta voit käyttää tätä sääntöä.
Intune nimi:Advanced ransomware protection
Configuration Manager nimi:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
Kehittynyt metsästystoiminnon tyyppi:
AsrRansomwareAuditedAsrRansomwareBlocked
Riippuvuudet: Microsoft Defender virustentorjunta, pilvisuojaus
Tutustu myös seuraaviin ohjeartikkeleihin:
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
- Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen
- Hyökkäyspinnan pienentämissääntöjen testaaminen
- Hyökkäyspinnan pienentämissääntöjen käyttöönotto
- Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
- Hyökkäyspinnan pienentämissääntöjen raportti
- Hyökkäyksen pinnan pienentämissääntöjen viittaus
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle